Wiki zdrojový kód pre I-02 Projektový zámer (projektovy_zamer)
Version 4.1 by Marián Spišiak on 2025/03/27 10:11
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PROJEKTOVÝ ZÁMER** | ||
| 2 | |||
| 3 | **manažérsky výstup I-02** | ||
| 4 | |||
| 5 | **~ podľa vyhlášky MIRRI č. 401/2023 Z. z. ** | ||
| 6 | |||
| 7 | |||
| 8 | |Povinná osoba|Zvýšenie úrovne kybernetickej bezpečnosti DataCentra | ||
| 9 | |Názov projektu|DataCentrum | ||
| 10 | |Zodpovedná osoba za projekt|((( | ||
| 11 | Peter Holba / projektový manažér | ||
| 12 | |||
| 13 | Jaroslav Petrovský / manažér kybernetickej bezpečnosti | ||
| 14 | ))) | ||
| 15 | |Realizátor projektu|DataCentrum | ||
| 16 | |Vlastník projektu|DataCentrum | ||
| 17 | |||
| 18 | |||
| 19 | **Schvaľovanie dokumentu** | ||
| 20 | |||
| 21 | |Položka|Meno a priezvisko|Organizácia|Pracovná pozícia|Dátum|((( | ||
| 22 | Podpis | ||
| 23 | |||
| 24 | |||
| 25 | ))) | ||
| 26 | |Vypracoval|Peter Holba|DataCentrum|projektový manažér|10.02.2025| | ||
| 27 | |||
| 28 | |||
| 29 | 1. História DOKUMENTU | ||
| 30 | |||
| 31 | |Verzia|Dátum|Zmeny|Meno | ||
| 32 | |//0.1//|//14.01.2025//|//Vytvorenie dokumentu//| | ||
| 33 | |//1.0//|//10.02.2025//|Spracovaný dokument| | ||
| 34 | | | | | | ||
| 35 | |||
| 36 | |||
| 37 | 1. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE | ||
| 38 | |||
| 39 | V súlade s vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v znení neskorších predpisov (ďalej aj ako „Vyhláška o riadení projektov“ alebo „Vyhláška č. 401/2023“) je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov. | ||
| 40 | |||
| 41 | |||
| 42 | Dokument je vypracovaný v súlade Výzvou na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku č. PSK-MIRRI-616-2024-DV-EFRR - Zvýšenie úrovne kybernetickej a informačnej bezpečnosti, ktorej cieľom je zvýšenie úrovne informačnej a kybernetickej bezpečnosti prostredníctvom | ||
| 43 | |||
| 44 | nákupu hardvéru a bezpečnostného softvéru. | ||
| 45 | |||
| 46 | |||
| 47 | 1. | ||
| 48 | 11. Použité skratky a pojmy | ||
| 49 | |||
| 50 | |SKRATKA/POJEM|POPIS | ||
| 51 | | EDR|Endpoint Detection and Response | ||
| 52 | | NDR|Network Detection and Response | ||
| 53 | | NBÚ|Národný bezpečnostný úrad | ||
| 54 | |MF SR|Ministerstvo financií SR | ||
| 55 | |MIRRI|Ministerstvo investícií, regionálneho rozvoja a informatizácie SR | ||
| 56 | |||
| 57 | |||
| 58 | 1. DEFINOVANIE PROJEKTU | ||
| 59 | |||
| 60 | |||
| 61 | 1. | ||
| 62 | 11. Manažérske zhrnutie | ||
| 63 | |||
| 64 | DataCentrum je kľúčovým poskytovateľom IT služieb a infraštruktúry pre široké spektrum verejných a súkromných organizácií. Ako správca kritických informačných systémov a poskytovateľ dátových služieb čelí neustále rastúcim kybernetickým hrozbám. Na zabezpečenie maximálnej ochrany citlivých údajov a na udržanie vysokej úrovne dôveryhodnosti poskytovaných služieb je nevyhnutné implementovať pokročilé bezpečnostné riešenia, ako sú Endpoint Detection and Response (EDR) a Network Detection and Response (NDR). Tieto nástroje umožňujú efektívne monitorovanie, identifikáciu a neutralizáciu kybernetických hrozieb v reálnom čase, čím znižujú riziko narušenia bezpečnosti a minimalizujú dopady potenciálnych incidentov. | ||
| 65 | |||
| 66 | |||
| 67 | Predložený projekt je priamou reakciou na rastúce riziká spojené s kybernetickými útokmi. Ako uvádza Správa o kybernetickej bezpečnosti v Slovenskej republike za rok 2023 (NBÚ) a dáta z predošlých kalendárnych rokov, počet kybernetických útokov má neustále stúpajúcu tendenciu. Medzi najvýznamnejšie kybernetické hrozby v Slovenskej republike patria útoky realizované metódami sociálneho inžinierstva, DDoS útoky, šírenie škodlivého softvéru (malvér), ako aj pokusy o neoprávnený prienik do systémov s cieľom zneužiť existujúce zraniteľnosti. Tieto riziká predstavujú vážnu hrozbu nielen pre prevádzkovateľov IT služieb, ale aj pre samotných užívateľov a ich údaje. | ||
| 68 | |||
| 69 | |||
| 70 | Cieľom projektu je vytvoriť robustné bezpečnostné prostredie, ktoré bude spĺňať nielen aktuálne požiadavky, ale aj dlhodobé strategické ciele v oblasti informačnej a kybernetickej bezpečnosti. Implementácia EDR a NDR technológií bude plne v súlade s cieľmi definovanými v Bezpečnostnej stratégii informačnej a kybernetickej bezpečnosti Slovenskej republiky a zohľadní aj požiadavky interných riadiacich smerníc DataCentra. Navyše, tento projekt pomôže zvýšiť pripravenosť organizácie na reakciu voči novým typom kybernetických útokov, zlepšiť procesy riadenia rizík a posilniť dôveru klientov v bezpečnosť poskytovaných služieb. | ||
| 71 | |||
| 72 | |||
| 73 | Výsledky projektu zároveň prispejú k optimalizácii bezpečnostných procesov, k zvýšeniu prevádzkovej odolnosti a k minimalizácii rizík spojených s manipuláciou citlivých údajov. Tento komplexný prístup k ochrane informačných systémov je kľúčom k efektívnej a spoľahlivej prevádzke DataCentra v čoraz náročnejšom digitálnom prostredí. | ||
| 74 | |||
| 75 | |||
| 76 | Realizácia projektu bude zabezpečená prostredníctvom kombinácie interných kapacít útvaru bezpečnosti a odboru prevádzky v súčinnosti s externými (dodávateľskými) prácami. V rámci projektu bude realizovaný nákup hardvéru a softvéru, pričom pôjde iba o tzv. krabicové riešenia s integračnými a konfiguračnými prácami bez potreby vlastného vývoja. | ||
| 77 | |||
| 78 | |||
| 79 | DataCentrum sa bude uchádzať o financovanie projektu primárne zo zdrojov Európskeho fondu regionálneho rozvoja (EFRR) prostredníctvom výzvy na predkladanie žiadosti o poskytnutie nenávratného finančného príspevku (NFP) „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“ (kód PSKMIRRI-616-2024-DV-EFRR) (ďalej aj ako „Výzva“), ktorú vyhlásilo Ministerstvo investícií, regionálneho rozvoja a informatizácie SR ako riadiaci orgán v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, špecifického cieľa RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy. Predpokladaná celková výška rozpočtu projektu je 3 000 000 EUR s DPH. Bližšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a analýze nákladov a prínosov (ďalej aj ako „CBA“). Realizačná fáza projektu je plánovaná na 36 mesiacov s predpokladaným začiatkom realizácie od 07/2025. | ||
| 80 | |||
| 81 | |||
| 82 | 1. | ||
| 83 | 11. Motivácia a rozsah projektu | ||
| 84 | |||
| 85 | |||
| 86 | **Motivácia projektu** | ||
| 87 | |||
| 88 | |||
| 89 | Digitálne prostredie čelí neustále rastúcim kybernetickým hrozbám, ktoré môžu mať vážne dôsledky pre organizácie spracúvajúce citlivé dáta. DataCentrum si uvedomuje potrebu posilnenia svojej kybernetickej bezpečnosti, aby zabezpečilo integritu, dostupnosť a dôvernosť údajov. Implementácia pokročilých bezpečnostných riešení, ako sú Endpoint Detection and Response (EDR) a Network Detection and Response (NDR), je nevyhnutná na ochranu infraštruktúry pred modernými hrozbami, minimalizáciu bezpečnostných incidentov a zvýšenie efektivity reakcie na kybernetické útoky. | ||
| 90 | |||
| 91 | |||
| 92 | Projekt priamo prispieva k naplneniu cieľa definovaného v Národnej koncepcii informatizácie verejnej správy SR 2021 a to k cieľu 4.1 pre prioritnú os 4: Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe | ||
| 93 | |||
| 94 | |||
| 95 | **Rozsah projektu** | ||
| 96 | |||
| 97 | |||
| 98 | Projekt sa zameriava na zavedenie a konfiguráciu systémov EDR a NDR v rámci DataCentra. Nezahŕňa vývoj ani úpravu koncových služieb, ale skôr posilnenie ochrany existujúcej IT infraštruktúry. Projekt pokrýva analýzu aktuálneho bezpečnostného prostredia, výber a implementáciu vhodných technológií, integráciu do existujúcich bezpečnostných systémov a školenie personálu na efektívne využívanie nových nástrojov. | ||
| 99 | |||
| 100 | |||
| 101 | |||
| 102 | **Hlavný cieľ projektu** | ||
| 103 | |||
| 104 | |||
| 105 | Hlavným cieľom projektu je zvýšiť úroveň kybernetickej bezpečnosti v DataCentre prostredníctvom nasadenia pokročilých bezpečnostných systémov EDR a NDR, ktoré umožnia včasnú detekciu a efektívnu reakciu na kybernetické hrozby, čím sa minimalizujú potenciálne škody a riziká spojené s bezpečnostnými incidentmi. | ||
| 106 | |||
| 107 | |||
| 108 | **Špecifické ciele projektu** | ||
| 109 | |||
| 110 | |||
| 111 | * Implementácia systémov EDR a NDR – Zavedenie a konfigurácia bezpečnostných nástrojov na detekciu a reakciu na hrozby v koncových bodoch a sieťovej infraštruktúre. | ||
| 112 | * Zlepšenie detekcie kybernetických hrozieb – Zvýšenie schopnosti identifikovať a eliminovať bezpečnostné incidenty pred ich eskaláciou. | ||
| 113 | * Zníženie reakčného času na bezpečnostné incidenty – Automatizácia analýzy a reakčných procesov na kybernetické hrozby. | ||
| 114 | * Integrácia s existujúcimi bezpečnostnými systémami – Napojenie EDR a NDR na ďalšie bezpečnostné nástroje a SIEM riešenia pre efektívnejšiu správu incidentov. | ||
| 115 | * Školenie personálu a budovanie interných kapacít – Vzdelávanie IT a bezpečnostných tímov na efektívne využívanie implementovaných riešení. | ||
| 116 | * Pravidelná revízia a optimalizácia bezpečnostných opatrení – Zavedenie priebežných auditov a hodnotení efektivity bezpečnostných systémov na základe aktuálnych hrozieb. | ||
| 117 | |||
| 118 | |||
| 119 | **Výzvy v oblasti kybernetickej bezpečnosti, ktoré projekt rieši:** | ||
| 120 | |||
| 121 | |||
| 122 | * Pokročilé a cielené kybernetické útoky – Ochrana pred ransomvérom, phishingom a ďalšími sofistikovanými hrozbami. | ||
| 123 | * Nedostatok prehľadu o bezpečnostných udalostiach – Zlepšenie viditeľnosti a sledovania podozrivých aktivít v rámci infraštruktúry. | ||
| 124 | * Dlhý reakčný čas na incidenty – Zavedenie automatizovaných mechanizmov na detekciu a reakciu, čím sa skracuje doba riešenia bezpečnostných incidentov. | ||
| 125 | * Nedostatočná integrácia bezpečnostných nástrojov – Prepojenie EDR a NDR s existujúcimi bezpečnostnými riešeniami a monitorovacími systémami. | ||
| 126 | * Zvyšujúca sa sofistikovanosť útokov – Neustále prispôsobovanie bezpečnostných opatrení novým typom hrozieb. | ||
| 127 | * Závislosť od manuálnych procesov – Automatizácia bezpečnostných operácií na zvýšenie efektivity a zníženie rizika ľudskej chyby. | ||
| 128 | |||
| 129 | |||
| 130 | |||
| 131 | 1. | ||
| 132 | 11. Zainteresované strany/Stakeholderi | ||
| 133 | |||
| 134 | |||
| 135 | |ID|AKTÉR / STAKEHOLDER|((( | ||
| 136 | SUBJEKT | ||
| 137 | |||
| 138 | (názov / skratka) | ||
| 139 | )))|((( | ||
| 140 | ROLA | ||
| 141 | |||
| 142 | (vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.) | ||
| 143 | )))|((( | ||
| 144 | Informačný systém | ||
| 145 | |||
| 146 | (MetaIS kód a názov ISVS) | ||
| 147 | ))) | ||
| 148 | |1.|Ministerstvo financií SR|MF SR|zriaďovateľ DataCentra a užívateľ služieb|nerelevantné | ||
| 149 | |2.|DataCentrum|DataCentrum|Vlastník informačných aktív| | ||
| 150 | |3.|Ministerstvo investícií, regionálneho rozvoja a informatizácie SR|MIRRI|Garant eGovernmentu|nerelevantné | ||
| 151 | |4.|Verejnosť|Verejnosť|Občan konzument služieb|nerelevantné | ||
| 152 | |||
| 153 | |||
| 154 | |||
| 155 | 1. | ||
| 156 | 11. Ciele projektu | ||
| 157 | |||
| 158 | |ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa | ||
| 159 | |1|Implementácia EDR a NDR systémov|Posilnenie kybernetickej bezpečnosti organizácie|Inštalácia a konfigurácia EDR/NDR nástrojov | ||
| 160 | |2|Monitorovanie a detekcia sieťových a endpoint hrozieb|Zlepšenie reakcie na kybernetické incidenty|Zriadenie systému včasného varovania | ||
| 161 | |3|Zníženie reakčného času na bezpečnostné incidenty|Zvýšenie efektívnosti procesov kybernetickej ochrany|Automatizácia analýzy incidentov pomocou EDR/NDR | ||
| 162 | |4|Vyškolenie tímu v používaní EDR a NDR systémov|Zvýšenie bezpečnostnej zdatnosti zamestnancov|Organizácia workshopov a praktických školení | ||
| 163 | |5|Pravidelná revízia a optimalizácia nasadených riešení|Neustála adaptácia na meniace sa hrozby|Zavedenie štvrťročných auditov kybernetickej bezpečnosti | ||
| 164 | |||
| 165 | |||
| 166 | 1. | ||
| 167 | 11. Merateľné ukazovatele (KPI) | ||
| 168 | |||
| 169 | |**ID/Názov cieľa**|**Názov ukazovateľa (KPI)**|**Popis ukazovateľa**|**Merná jednotka**|**AS IS merateľné hodnoty (aktuálne)**|**TO BE merateľné hodnoty (cieľové hodnoty)**|**Spôsob ich merania**|**Pozn.** | ||
| 170 | |1. Implementácia EDR a NDR systémov|Pokrytie infraštruktúry|Percento pokrytia endpointov a siete systémami EDR a NDR|%|0%|100%|Overenie implementácie na všetkých endpointoch| | ||
| 171 | | |Čas implementácie|Dĺžka implementácie systémov|Mesiace|0|6|Sledovanie projektového plánu| | ||
| 172 | |2. Monitorovanie a detekcia hrozieb|Detekcia hrozieb|Percento detegovaných známych hrozieb|%|0%|95%|Testovanie systému na reálnych dátach| | ||
| 173 | | |Falošné pozitívne výsledky|Percento falošne pozitívnych detekcií|%|-|< 10 %|Analýza výstupov z detekčného systému| Pod 10% pozitívne falošných | ||
| 174 | |3. Zníženie reakčného času|Priemerný reakčný čas|Priemerný čas na reakciu na kybernetické incidenty|Hodiny|10 hodín|5 hodín|Monitorovanie a analýza reakčných časov| | ||
| 175 | |4. Vyškolenie tímu|Počet vyškolených zamestnancov|Percento zamestnancov, ktorí absolvovali školenie|%|0%|100%|Evidencia účasti na školeniach| Pre EDR a NDR | ||
| 176 | | |Spokojnosť zamestnancov|Percento pozitívnej spätnej väzby zo školení|%|-|> 90 %|Dotazník po školení| | ||
| 177 | |5. Pravidelná revízia a optimalizácia|Počet implementovaných odporúčaní|Počet odporúčaní zavedených do praxe|Počet|0|≥ 3 odporúčania za audit|Kontrola implementácie záznamov z auditov| | ||
| 178 | | |Čas realizácie odporúčaní|Priemerný čas realizácie odporúčaní po audite|Dni|-|≤ 30 dní|Sledovanie priebehu implementácie| | ||
| 179 | |||
| 180 | |||
| 181 | 1. | ||
| 182 | 11. Špecifikácia potrieb koncového používateľa | ||
| 183 | |||
| 184 | Predmetný projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci DataCentra prostredníctvom implementácie pokročilých bezpečnostných riešení, ako sú systémy Endpoint Detection and Response (EDR) a Network Detection and Response (NDR). Projekt sa nezameriava na vývoj ani úpravu koncových služieb, ale výlučne na zabezpečenie ochrany dát, infraštruktúry a procesov, ktoré sú kľúčové pre bezpečné fungovanie DataCentra. Cieľom je efektívne reagovať na kybernetické hrozby a minimalizovať bezpečnostné riziká bez zásahu do existujúceho nastavenia koncových služieb. | ||
| 185 | |||
| 186 | |||
| 187 | 1. | ||
| 188 | 11. Riziká a závislosti | ||
| 189 | |||
| 190 | Zoznam rizík a závislostí je detailne spracovaný v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTÍ. | ||
| 191 | |||
| 192 | |||
| 193 | 1. | ||
| 194 | 11. Stanovenie alternatív v biznisovej vrstve architektúry | ||
| 195 | |||
| 196 | Pre projekt nasadenia systémov EDR (Endpoint Detection and Response) a NDR (Network Detection and Response) v DataCentre boli identifikované nasledovné alternatívy realizácie, pričom každá z nich predstavuje odlišný prístup k implementácii bezpečnostných opatrení a zohľadňuje rôzne faktory, ako sú náklady, efektivita a dostupné zdroje. | ||
| 197 | |||
| 198 | |||
| 199 | 1. | ||
| 200 | 11. | ||
| 201 | 111. **Alternatíva č. 1: Zachovanie súčasného stavu** | ||
| 202 | |||
| 203 | Táto alternatíva predpokladá ponechanie existujúceho bezpečnostného riešenia bez implementácie systémov EDR a NDR. Súčasné bezpečnostné opatrenia budú naďalej spravované v rámci aktuálnych možností a bez dodatočných investícií do nových technológií. Táto možnosť prináša minimálne počiatočné náklady, avšak môže predstavovať zvýšené riziko kybernetických hrozieb v dôsledku obmedzenej detekcie a odozvy na bezpečnostné incidenty. | ||
| 204 | |||
| 205 | |||
| 206 | **Hlavné výhody:** | ||
| 207 | |||
| 208 | * Žiadne dodatočné investičné náklady | ||
| 209 | * Zachovanie existujúcej infraštruktúry | ||
| 210 | * Minimálne narušenie prevádzkových procesov | ||
| 211 | |||
| 212 | |||
| 213 | **Hlavné nevýhody:** | ||
| 214 | |||
| 215 | * Zvýšené riziko kybernetických hrozieb | ||
| 216 | * Nedostatočná úroveň automatizácie a analytiky | ||
| 217 | * Nižšia schopnosť reagovať na incidenty v reálnom čase | ||
| 218 | *1. | ||
| 219 | *11. **Alternatíva č. 2: Realizácia výstupov spôsobom využitia externých kapacít** | ||
| 220 | |||
| 221 | V rámci tejto alternatívy by bol projekt realizovaný prostredníctvom externých poskytovateľov služieb, ktorí by zabezpečili nasadenie a správu systémov EDR a NDR. Týmto spôsobom by sa eliminovala potreba rozsiahlych interných investícií do infraštruktúry a personálu, pričom organizácia by využívala služby formou outsourcingu. | ||
| 222 | |||
| 223 | |||
| 224 | **Hlavné výhody:** | ||
| 225 | |||
| 226 | * Rýchle nasadenie riešenia | ||
| 227 | * Využitie expertízy a skúseností externých poskytovateľov | ||
| 228 | * Nižšia potreba interných kapacít a odborných znalostí | ||
| 229 | |||
| 230 | |||
| 231 | **Hlavné nevýhody:** | ||
| 232 | |||
| 233 | * Závislosť od externého dodávateľa | ||
| 234 | * Možné vyššie dlhodobé prevádzkové náklady | ||
| 235 | * Riziko spojené s externým spracovaním citlivých dát | ||
| 236 | |||
| 237 | |||
| 238 | 1. | ||
| 239 | 11. | ||
| 240 | 111. **Alternatíva č. 3: Realizácia projektu v plnom rozsahu** | ||
| 241 | |||
| 242 | Táto alternatíva zahŕňa plnú internú realizáciu nasadenia systémov EDR a NDR, vrátane vybudovania potrebnej infraštruktúry a zabezpečenia interných odborných kapacít na správu a údržbu systému. Tento prístup umožňuje plnú kontrolu nad bezpečnostnými riešeniami a ich konfiguráciou. | ||
| 243 | |||
| 244 | **Hlavné výhody:** | ||
| 245 | |||
| 246 | * Plná kontrola nad riešením a bezpečnostnými politikami | ||
| 247 | * Možnosť prispôsobenia systému špecifickým potrebám organizácie | ||
| 248 | * Dlhodobá návratnosť investícií bez závislosti od externých partnerov | ||
| 249 | |||
| 250 | |||
| 251 | **Hlavné nevýhody:** | ||
| 252 | |||
| 253 | * Potreba zabezpečenia odborných kapacít na správu systému | ||
| 254 | |||
| 255 | |||
| 256 | 1. | ||
| 257 | 11. Multikriteriálna analýza | ||
| 258 | |||
| 259 | V zmysle vyššie uvedených možných alternatív vyplýva, že ak chce Datacentrum zabezpečiť čo najvyšší súlad kybernetickej a informačnej bezpečnosti týchto služieb s legislatívnymi požiadavkami, je jediná akceptovateľná alternatíva č. 3. | ||
| 260 | |||
| 261 | Výber alternatív prebieha na úrovni biznis vrstvy prostredníctvom MCA, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. | ||
| 262 | |||
| 263 | KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania | ||
| 264 | |||
| 265 | | |KRITÉRIUM|ZDÔVODNENIE KRIÉRIA|DataCetrum|MF SR|Verejnosť | ||
| 266 | |(% rowspan="4" %)((( | ||
| 267 | BIZNIS VRSTVA | ||
| 268 | |||
| 269 | |||
| 270 | )))|((( | ||
| 271 | Rozšírenie schopností bezpečnostného dohľadu a | ||
| 272 | |||
| 273 | detekcie KBI. | ||
| 274 | )))|Rýchla detekcia a následná reakcia na KBI je potrebná pre minimalizáciu následkov KBI|X| |X | ||
| 275 | |Zlepšenie koordinácie riešenia KBI.|Zlepšenie systému evidencie a riadenia KBI|X|X| | ||
| 276 | |Zlepšenie manažmentu zraniteľností kybernetickej Bezpečnosti DataCentra|Zlepšenie skenovania IT aktív v prístupových infraštruktúrach, riadenie záplat a aktualizácií|X| | | ||
| 277 | |Zlepšenie zabezpečenia sieťového rozhrania organizácii|Zlepšenie zabezpečenia infraštruktúry MF SR a prístupových infraštruktúr rezortných organizácií.|X|X|X | ||
| 278 | |||
| 279 | |||
| 280 | |||
| 281 | |||
| 282 | |||
| 283 | |||
| 284 | |||
| 285 | |||
| 286 | |Zoznam kritérií|((( | ||
| 287 | Alternatíva | ||
| 288 | |||
| 289 | 1 | ||
| 290 | )))|((( | ||
| 291 | Spôsob | ||
| 292 | |||
| 293 | dosiahnutia | ||
| 294 | )))|Alternatíva 2|((( | ||
| 295 | Spôsob | ||
| 296 | |||
| 297 | dosiahnutia | ||
| 298 | )))|Alternatíva 3|((( | ||
| 299 | Spôsob | ||
| 300 | |||
| 301 | dosiahnutia | ||
| 302 | ))) | ||
| 303 | |((( | ||
| 304 | Rozšírenie schopností bezpečnostného dohľadu a | ||
| 305 | |||
| 306 | detekcie KBI. | ||
| 307 | )))|nie| |áno| |áno| | ||
| 308 | |Zlepšenie koordinácie riešenia KBI.|nie| |nie| |áno| | ||
| 309 | |Zlepšenie manažmentu zraniteľností kybernetickej Bezpečnosti DataCentra|nie| |áno| |áno| | ||
| 310 | |Zlepšenie zabezpečenia sieťového rozhrania organizácii|nie| |nie| |áno| | ||
| 311 | |||
| 312 | Z vyššie uvedených informácii vyplýva, že najvýhodnejším riešením MCA pre splnenie cieľa projektu a teda zvýšenie kybernetickej bezpečnosti organizácie je biznis alternatíva 3, ktorá navrhuje realizovať všetky navrhované aktivity v plnom rozsahu. | ||
| 313 | |||
| 314 | |||
| 315 | 1. | ||
| 316 | 11. Stanovenie alternatív v aplikačnej vrstve architektúry | ||
| 317 | |||
| 318 | Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej Alternatívy č. 3 | ||
| 319 | |||
| 320 | 1. | ||
| 321 | 11. Stanovenie alternatív v technologickej vrstve architektúry | ||
| 322 | |||
| 323 | Z hľadiska použitých technológií nie sú definované alternatívy. Požiadavky na technológie sú definované všeobecne tak, aby ľubovoľnú SW a HW technológia, ktorá splní definované požiadavky koncového používateľa, bolo možné použiť na realizáciu projektu. | ||
| 324 | |||
| 325 | 1. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) | ||
| 326 | |||
| 327 | |||
| 328 | |Aktivita (modul)|Stručný popis činností a výstupov | ||
| 329 | |Bezpečnostný dohľad a riadenie incidentov|((( | ||
| 330 | Bezpečnostný monitoring, analýza a detekcia KBI | ||
| 331 | |||
| 332 | * Rozšírenie kapacít a procesov bezpečnostného monitoringu, predovšetkým v oblasti technológie SIEM a súvisiacich procesných postupov, pre infraštruktúry Datacentra a prístupové systémy. | ||
| 333 | * Analýza zaznamenaných bezpečnostných udalostí | ||
| 334 | * Vytvorenie detekčných pravidiel („use-cases“) pre prístupové infraštruktúry. | ||
| 335 | |||
| 336 | Analýza prístupových infraštruktúr | ||
| 337 | |||
| 338 | * Vykonanie podrobnej analýzy perimetrov prístupových infraštruktúr a inventarizácia IT aktív. | ||
| 339 | * Výstupom bude inventarizačná databáza počítačových sietí a IT aktív | ||
| 340 | |||
| 341 | Evidencia a riadenie KBI | ||
| 342 | |||
| 343 | * Rozšírenie kapacít ticketovacieho systému a optimalizáciu procesov koordinácie riešenia bezpečnostných incidentov v rámci Datacentra. | ||
| 344 | ))) | ||
| 345 | |Zlepšenie monitoringu sieťových rozhraní|((( | ||
| 346 | Monitoring sieťových a mailových rozhraní | ||
| 347 | |||
| 348 | * V rámci tejto činnosti budú implementované sondy monitorujúce sieťovú a mailovú prevádzku ako aj servery a úložiská pre tieto dáta. | ||
| 349 | * Táto aktivita zahŕňa obstaranie a nasadenie technológie na monitoring sieťovej komunikácie. Výsledkom bude rozšírenie možností analýzy sieťovej prevádzky o sieťové toky v rámci prístupových infraštruktúr prostredníctvom špecializovaných sond na monitorovanie komunikácie. | ||
| 350 | ))) | ||
| 351 | |Zavedenie monitoringu a ochrany koncovvých bodov|((( | ||
| 352 | Monitoring a ochrana koncových bodov: | ||
| 353 | |||
| 354 | * V rámci tejto činnosti budú implementované agentské programy na koncové body monitorujúce prevádzku ako aj servery a úložiská pre tieto dáta a manažovanie agentov na koncových bodoch. | ||
| 355 | * Monitorovanie činností koncových bodov - Implementácia systému na zaznamenávanie aktivít (spustené procesy, súbory, registre, sieťové činnosti, USB médiá) - Zabezpečený prehľad o činnostiach koncových bodov a možnosť ich analýzy. | ||
| 356 | * Pravidlá pre hodnotenie správania koncových bodov - Definovanie pravidiel na detekciu podozrivého správania. Automatizované upozornenia na anomálie (napr. PowerShell zapisujúci na disk). | ||
| 357 | * Ochrana pred vírusmi a malware - Nasadenie antivírusového a anti-malware riešenia s detekciou v reálnom čase. Prevencia pred spustením škodlivých procesov a integrácia s Windows Security. | ||
| 358 | * Vzdialené vyšetrovanie incidentov - Implementácia nástrojov na získavanie údajov (smerovacia tabuľka, ARP, registre, súbory, prihlásení používatelia, analýza pamäte). Efektívne riešenie incidentov bez nutnosti fyzického zásahu. | ||
| 359 | * Detekcia indikátorov kompromitácie (IOC) - Využitie OpenIOC a YARA na analýzu podozrivých aktivít. Možnosť rýchlej identifikácie hrozieb na koncových bodoch | ||
| 360 | * Vzdialené riešenie bezpečnostných incidentov - Implementácia opatrení na mazanie súborov, úpravu registrov, odinštalovanie SW, izoláciu stanice. Rýchla a efektívna reakcia na incidenty bez fyzického prístupu | ||
| 361 | * Práva a prístupové oprávnenia (RBAC) - Konfigurácia detailného riadenia prístupových práv bezpečnostných špecialistov. Bezpečná správa systému s presne definovanými oprávneniami. | ||
| 362 | * Externý prístup pre odborníkov - Definovanie súboru alarmov a systémových funkcií dostupných pre externých expertov. Možnosť zapojenia špecialistov do riešenia bezpečnostných incidentov | ||
| 363 | * Detekcia zraniteľností aplikácií - Implementácia skenovania a reportovania o bezpečnostných nedostatkoch softvéru. Prehľad o zraniteľnostiach nainštalovaných aplikácií. | ||
| 364 | * Zber a analýza procesov na koncových bodoch - Kontinuálne monitorovanie spustených procesov a súborov na analýzu. Kompletný zoznam spustených súborov pre hĺbkovú bezpečnostnú kontrolu. | ||
| 365 | ))) | ||
| 366 | |||
| 367 | |||
| 368 | 1. NÁHĽAD ARCHITEKTÚRY | ||
| 369 | |||
| 370 | Novo-pridané komponenty NDR a EDR budú integrované s existujúcimi SIEM servermi v Datacentre. Ich monitoring, manažment a riadenie budú prevádzkované bezpečnostnými expertami z centra SOC a požaduje sa aj automatické zasielanie reportov pre CISO prípadne manažment Datacentra. | ||
| 371 | |||
| 372 | NDR a EDR systémy budú nesaditeľné nielen na interné systémy Datacentra, ale aj napr. systémy, ktoré Datacentrum spravuje prípadne systémy RPC. | ||
| 373 | |||
| 374 | [[image:1743066438466-211.png]] | ||
| 375 | |||
| 376 | [[image:file:///C:/Users/mspisiak/AppData/Local/Packages/oice_16_974fa576_32c1d314_370/AC/Temp/msohtmlclip1/01/clip_image001.png]]Architektúra pre nasadenie systémov Endpoint Detection and Response (EDR) a Network Detection and Response (NDR) v dátovom centre (DC) je znázornená na schéme, ktorá ukazuje rôzne komponenty a ich prepojenia. | ||
| 377 | |||
| 378 | Popis architektúry: | ||
| 379 | |||
| 380 | Internet Sieť DC (Zelená sekcia) | ||
| 381 | |||
| 382 | • Obsahuje systémy na zber logov (Systemy DC - syslog). | ||
| 383 | |||
| 384 | • Obsahuje koncové zariadenia s nasadenými EDR agentmi na detekciu hrozieb. | ||
| 385 | |||
| 386 | • Obsahuje aj NDR senzory na monitorovanie sieťovej prevádzky. | ||
| 387 | |||
| 388 | Systémy RPC (Hnedá sekcia) – ako aj Systémy spravované DC (napríklad systémy externých subjektov) (Hnedá sekcia) | ||
| 389 | |||
| 390 | • Obsahujú systémy na spracovanie a analýzu logov. | ||
| 391 | |||
| 392 | • Obsahujú servery EDR agentov aj sieťové NDR senzory. | ||
| 393 | |||
| 394 | • Umožňujú monitoring komunikácie a bezpečnostných udalostí. | ||
| 395 | |||
| 396 | SIEM Server v DC (Šedá sekcia) | ||
| 397 | |||
| 398 | • Centrálna časť architektúry pre zber, spracovanie a koreláciu bezpečnostných udalostí. | ||
| 399 | |||
| 400 | • Obsahuje SIEM server, ktorý integruje údaje z NDR a EDR systémov. | ||
| 401 | |||
| 402 | • Poskytuje údaje pre monitoring, správu incidentov a reakciu na hrozby. | ||
| 403 | |||
| 404 | NDR-NDR Servery v DC (Šedá sekcia) | ||
| 405 | |||
| 406 | • NDR (Network Detection & Response) – analyzuje sieťovú komunikáciu na detekciu anomálií. | ||
| 407 | |||
| 408 | • EDR (Endpoint Detection & Response) – analyzuje aktivity na koncových zariadeniach. | ||
| 409 | |||
| 410 | Prepojenia a integrácie | ||
| 411 | |||
| 412 | Prepojenie medzi servermi a SIEM: | ||
| 413 | |||
| 414 | • NDR a EDR servery zasielajú údaje do SIEM systému. | ||
| 415 | |||
| 416 | • SIEM spracováva udalosti, generuje incidenty a upozornenia. | ||
| 417 | |||
| 418 | Monitoring a odozva na hrozby: | ||
| 419 | |||
| 420 | • SIEM systém odosiela výstupy do SOC DC (Security Operations Center), kde sú analyzované bezpečnostné tímy. | ||
| 421 | |||
| 422 | • Reporting a incidenty sú zasielané aj na úroveň CISO Management DC, kde sa rozhoduje o strategických opatreniach. | ||
| 423 | |||
| 424 | Organizačné pravidlá a reakcie: | ||
| 425 | |||
| 426 | • CISO a SOC DC na základe hlásení definujú nové bezpečnostné politiky a reakcie na hrozby. | ||
| 427 | |||
| 428 | • Integrácia s firemnými procesmi zabezpečuje efektívne riadenie bezpečnostných incidentov. | ||
| 429 | |||
| 430 | Kľúčové funkcie architektúry: | ||
| 431 | |||
| 432 | • Real-time monitoring a detekcia hrozieb pomocou EDR a NDR technológií. | ||
| 433 | |||
| 434 | • Centrálna analytika cez SIEM, ktorá umožňuje koreláciu bezpečnostných incidentov. | ||
| 435 | |||
| 436 | • Prepojenie so SOC a CISO, ktoré zaisťuje efektívnu reakciu na incidenty a strategické riadenie bezpečnosti. | ||
| 437 | |||
| 438 | • Tento návrh zabezpečuje pokrytie hrozieb na viacerých úrovniach infraštruktúry a umožňuje komplexný prehľad o bezpečnostnej situácii v dátovom centre. | ||
| 439 | |||
| 440 | |||
| 441 | |||
| 442 | 1. | ||
| 443 | 11. Prehľad e-Government komponentov | ||
| 444 | |||
| 445 | |||
| 446 | 1. | ||
| 447 | 11. | ||
| 448 | 111. Prehľad koncových služieb – budúci stav: | ||
| 449 | |||
| 450 | Projekt nemá vplyv na poskytovanie koncových služieb. Žiadne úpravy koncových služieb sa v rámci projektu nerealizujú. | ||
| 451 | |||
| 452 | |||
| 453 | 1. | ||
| 454 | 11. | ||
| 455 | 111. Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: | ||
| 456 | |||
| 457 | Projekt sa nevenuje budovaniu ani rozvoju informačných systémov ako takých. Prevádzka ISVS budú nepriamo podporované implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov. | ||
| 458 | |||
| 459 | |||
| 460 | 1. | ||
| 461 | 11. | ||
| 462 | 111. Prehľad budovaných aplikačných služieb – budúci stav: | ||
| 463 | |||
| 464 | Predmetom projektu nie je budovanie, ani rozširovanie nových koncových či aplikačných služieb, funkcionality systémov Datacentra, ani zmena evidovaných a poskytovaných údajov, ale zvýšenie úrovne kybernetickej a informačnej bezpečnosti v DataCentre. | ||
| 465 | |||
| 466 | 1. | ||
| 467 | 11. | ||
| 468 | 111. Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1]] a ISVS iných OVM alebo IS tretích strán | ||
| 469 | |||
| 470 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a IS tretích strán. | ||
| 471 | |||
| 472 | 1. | ||
| 473 | 11. | ||
| 474 | 111. Aplikačné služby na integráciu | ||
| 475 | |||
| 476 | |||
| 477 | Predmetom projektu nie je budovanie, ani rozširovanie nových koncových či aplikačných služieb, funkcionality systémov DataCentra, ani zmena evidovaných a poskytovaných údajov, ale zvýšenie úrovne kybernetickej a informačnej bezpečnosti. | ||
| 478 | |||
| 479 | |||
| 480 | 1. | ||
| 481 | 11. | ||
| 482 | 111. Poskytovanie údajov z ISVS do IS CSRÚ | ||
| 483 | |||
| 484 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do IS CSRÚ. | ||
| 485 | |||
| 486 | |||
| 487 | 1. | ||
| 488 | 11. | ||
| 489 | 111. Konzumovanie údajov z IS CSRÚ | ||
| 490 | |||
| 491 | |||
| 492 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do IS CSRÚ. | ||
| 493 | |||
| 494 | |||
| 495 | 1. | ||
| 496 | 11. | ||
| 497 | 111. Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: | ||
| 498 | |||
| 499 | |||
| 500 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít vládneho cloudu. | ||
| 501 | |||
| 502 | Z povahy projektu je best practice prevádzkovať bezpečnostné IT riešenia na oddelenej infraštruktúre od infraštruktúry, na ktorej sú prevádzkované samotné informačné systémy. | ||
| 503 | |||
| 504 | 1. LEGISLATÍVA | ||
| 505 | |||
| 506 | Realizácia projektu si nevyžaduje žiadne zmeny v oblasti legislatívy pre naplnenie cieľov a dodanie výstupov projektu. | ||
| 507 | |||
| 508 | |||
| 509 | * Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov | ||
| 510 | * Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov | ||
| 511 | * Vyhláška ÚPVII č. 78/2020 Z. z. o štandardoch ITVS | ||
| 512 | * Vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy | ||
| 513 | * Vyhláška ÚPVII č. 179/2020 Z. z. k bezpečnosti ITVS | ||
| 514 | * Vyhláška NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení | ||
| 515 | |||
| 516 | 1. ROZPOČET A PRÍNOSY | ||
| 517 | |||
| 518 | Celkový predpokladaný rozpočet pre trvanie projektu je vo výške 2 988 047 EUR s DPH. | ||
| 519 | |||
| 520 | |||
| 521 | 1. | ||
| 522 | 11. Sumarizácia nákladov a prínosov | ||
| 523 | |||
| 524 | |**TO BE - AS IS (€, SUM)**|** **|** **|** **|** ** | ||
| 525 | |(% colspan="3" %)** **|**Spolu**|Modul 1 | ||
| 526 | |**Náklady s DPH**|** **|** **|** 5 917 502 €**|** 5 917 502 €** | ||
| 527 | |** **|**Všeobecný materiál**|** **| - €| - € | ||
| 528 | |** **|**IT - CAPEX**|** **| 2 092 468 €| 2 092 468 € | ||
| 529 | |** **|** **|Aplikácie|// - €//|// - €// | ||
| 530 | |** **|** **|SW|// 1 942 843 €//|// 1 942 843 €// | ||
| 531 | |** **|** **|HW|// 149 624 €//|// 149 624 €// | ||
| 532 | |** **|**IT - OPEX**|** **| 3 825 034 €| 3 825 034 € | ||
| 533 | |** **|** **|Aplikácie|// - €//|// - €// | ||
| 534 | |** **|** **|SW|// 3 615 560 €//|// 3 615 560 €// | ||
| 535 | |** **|** **|HW|// 209 474 €//|// 209 474 €// | ||
| 536 | |** **|**Riadenie projektu**|** **| - €| - € | ||
| 537 | |** **|**Výstupné náklady**|** **| - €| - € | ||
| 538 | |**Prínosy**|** **|** **|** 41 513 090 €**|** 41 513 090 €** | ||
| 539 | |** **|**Finančné prínosy**|** **| - €| - € | ||
| 540 | |** **|** **|Administratívne poplatky|// - €//|// - €// | ||
| 541 | |** **|** **|Ostatné daňové a nedaňové príjmy|// - €//|// // | ||
| 542 | |** **|**Ekonomické prínosy**|** **| 41 513 090 €| 41 513 090 € | ||
| 543 | |** **|** **|Občania (€)|// - €//|// - €// | ||
| 544 | |** **|** **|Úradníci (€)|// - €//|// - €// | ||
| 545 | |** **|** **|Úradníci (FTE)|// N/A//|// N/A// | ||
| 546 | |** **|** **|Kvalitatívne prínosy|// 41 513 090 €//|// 41 513 090 €// | ||
| 547 | |||
| 548 | |||
| 549 | |||
| 550 | Detailný rozpočet sa nachádza v dokumente Analýza prínosov a nákladov (CBA), ktorý tvorí súčasť projektovej dokumentácie. | ||
| 551 | |||
| 552 | |||
| 553 | Kvantitatívne prínosy boli stanovené ako ohodnotenie znemožnenia výkonu povolania pre všetkých našich používateľov (cca 75000) pri mzdovom základe 2 500€, 30% využití pracovnej doby pre prácu s informačnými systémami a 5% mzdovej valorizácií. | ||
| 554 | |||
| 555 | Tento prístup sa nám javil ako jediný vyčísliteľný. | ||
| 556 | |||
| 557 | 1. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA | ||
| 558 | |||
| 559 | |||
| 560 | Časový harmonogram projektu je plánovaný na implementačno-realizačnú fázu(6 mesiacov) a následnú podporu prevádzky v trvaní 36mesiacov. Predbežný projektový harmonogram je nasledovný. | ||
| 561 | |||
| 562 | |ID|FÁZA/AKTIVITA|((( | ||
| 563 | ZAČIATOK | ||
| 564 | |||
| 565 | (odhad termínu) | ||
| 566 | )))|((( | ||
| 567 | KONIEC | ||
| 568 | |||
| 569 | (odhad termínu) | ||
| 570 | )))|POZNÁMKA | ||
| 571 | |1.|Prípravná fáza a Iniciačná fáza|05/2025|06/2025| | ||
| 572 | |2.|Realizačná fáza|06/2025|12/2025| | ||
| 573 | |2a|Analýza a Dizajn|06/2025|07/2025| | ||
| 574 | |2b|Nákup technických prostriedkov, programových prostriedkov a služieb|06/2025|08/2025|Obstaranie dodávateľa a licencií | ||
| 575 | |2c|Implementácia a testovanie|08/2025|10/2025| | ||
| 576 | |2d|Nasadenie|09/2025|11/2025| | ||
| 577 | |3.|Dokončovacia fáza|11/2025|12/2025| | ||
| 578 | |4.|Podpora prevádzky (SLA)|01/2026|12/2028|Licenčná podpora + SLA implementátora | ||
| 579 | |||
| 580 | |||
| 581 | Projekt bude riadený metódou „Waterfall“ metodológiou PRINCE2, keďže je možné vopred presne odhadnúť a naplánovať jednotlivé kroky. Dôraz bude kladený na systematické dodržiavanie stanoveného postupu počas vývoja a realizácie. Možnosti úprav počas priebehu projektu budú minimálne. | ||
| 582 | |||
| 583 | |||
| 584 | 1. PROJEKTOVÝ TÍM | ||
| 585 | |||
| 586 | |||
| 587 | |||
| 588 | |ID|Meno a Priezvisko|Pozícia|Oddelenie|Rola v projekte | ||
| 589 | |1.|Ing. Michal Majerčík|vedúci odboru prevádzky|Odboru prevádzky|Kľúčový používateľ | ||
| 590 | |2.|Peter Holba| |Oddelenie metodiky a riadenia projektov IS|IT Projektový manažér | ||
| 591 | |3.|Jaroslav Petrovský| |Útvar bezpečnosti|Manažér KB | ||
| 592 | |||
| 593 | |||
| 594 | |||
| 595 | 1. | ||
| 596 | 11. PRACOVNÉ NÁPLNE | ||
| 597 | |||
| 598 | Role a zodpovednosti RV, projektových manažérov a členov projektového tímu upravuje vyhláška 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. | ||
| 599 | |||
| 600 | Podrobné pracovné náplne, povinnosti projektového tímu a ich zodpovednosti budú predmetom menovacích dekrétov. | ||
| 601 | |||
| 602 | |||
| 603 | **Členmi riadiaceho výboru sú nasledovné role s definovanými zodpovednosťami:** | ||
| 604 | |||
| 605 | |||
| 606 | * | ||
| 607 | *1. | ||
| 608 | *11. Predseda RV: | ||
| 609 | * riadi a vedie RV | ||
| 610 | * zastupuje záujmy objednávateľa v projekte | ||
| 611 | * kontroluje súlad projektu a projektových cieľov so strategickými cieľmi | ||
| 612 | * zabezpečuje a udržiava finančné krytie (rozpočet) realizácie projektu | ||
| 613 | * zabezpečuje nákladovo prijateľný prístup v projekte. | ||
| 614 | |||
| 615 | === === | ||
| 616 | |||
| 617 | * | ||
| 618 | *1. | ||
| 619 | *11. IT Projektový manažér | ||
| 620 | * Riadenie prípravy, inicializácie a realizácie | ||
| 621 | * Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie | ||
| 622 | * Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov. | ||
| 623 | * Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou | ||
| 624 | |||
| 625 | 401/2023 Z.z. | ||
| 626 | |||
| 627 | * Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich | ||
| 628 | * Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov. | ||
| 629 | * Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie. | ||
| 630 | * Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom, | ||
| 631 | * Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV). | ||
| 632 | |||
| 633 | |||
| 634 | * | ||
| 635 | *1. | ||
| 636 | *11. Manažér KB | ||
| 637 | * Návrh a zavádzanie do praxe postupov, techník, nástrojov a pravidiel, ktoré maximalizujú efektivitu práce a kvalitatívne parametre vývoja softwaru/produktu/IS, resp. IT projektu. | ||
| 638 | * Definovanie akceptačných kritérií. | ||
| 639 | * Zabezpečenie súladu so štandardmi, normami, právnymi požiadavkami, požiadavkami užívateľov a prevádzkovateľov systémov. | ||
| 640 | * Akceptáciu splnenia vecných a kvalitatívnych požiadaviek v projekte svojím podpisom na akceptačnom protokole pri odovzdávaní jednotlivých fáz projektu/čiastkových projektov alebo pri odovzdávaní zmien vykonaných v rámci zmenových konaní. | ||
| 641 | * Aktívnu účasť rokovaniach a participáciu na riešení vecných požiadaviek členov projektového tímu. | ||
| 642 | * Definovanie postupov, navrhovanie a vyjadrovanie sa k plánom testov a testovacích scenárov. | ||
| 643 | * Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z. | ||
| 644 | |||
| 645 | |||
| 646 | * | ||
| 647 | *1. | ||
| 648 | *11. Manažér kvality | ||
| 649 | * Návrh a zavádzanie do praxe postupov, techník, nástrojov a pravidiel, ktoré maximalizujú efektivitu práce a kvalitatívne parametre vývoja softwaru/produktu/IS, resp. IT projektu | ||
| 650 | * Definovanie politiky kvality (stratégie kvality), meranie kvality, analýzu a spracovanie plánov kvality, | ||
| 651 | * Riadenie a monitorovanie dosahovania cieľov kvality, | ||
| 652 | * Špecifikáciu požiadaviek na kvalitu vyvíjaných funkcionalít systému | ||
| 653 | * Zabezpečenie súladu so štandardmi, normami, právnymi požiadavkami, požiadavkami užívateľov a prevádzkovateľov systémov, | ||
| 654 | * Kontrolu kvalitu plnenia vecných požiadaviek definovaných v Zmluve s dodávateľom alebo v požiadavkách na zmenu, | ||
| 655 | * Aktívnu účasť rokovaniach a participáciu na riešení vecných požiadaviek členov projektového tímu, | ||
| 656 | * Monitoring a vyhodnocovanie kvality údajov a návrh nápravných opatrení za účelom zabezpečenia správnosti a konzistentnosti údajov | ||
| 657 | |||
| 658 | |||
| 659 | * | ||
| 660 | *1. | ||
| 661 | *11. Špecialista na bezpečnosť IT | ||
| 662 | * identifikáciu potencionálnych hrozieb a elimináciu súčasných zraniteľností, | ||
| 663 | * vyhodnotenie informácií o hrozbách z interných a externých zdrojov za účelom monitorovania, | ||
| 664 | * zabezpečuje monitorovanie nových kritických zraniteľností, | ||
| 665 | * vyhodnocovanie zraniteľnosti, hrozieb a rizík | ||
| 666 | * bezpečnostné audity, testovanie možnosti prienikov | ||
| 667 | * dbá o včasnú eskaláciu problémov k manažmentu s primeranými informáciami o riziku a vplyve na organizáciu, | ||
| 668 | * vyhodnocuje zistenia vykonané externými stranami, vrátane posúdení zraniteľnosti a penetračných testov | ||
| 669 | |||
| 670 | |||
| 671 | * | ||
| 672 | *1. | ||
| 673 | *11. IT analytik | ||
| 674 | * Zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. | ||
| 675 | * Analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému | ||
| 676 | * Pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. | ||
| 677 | * Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. | ||
| 678 | * Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových štruktúr a ich väzieb, užívateľského rozhrania | ||
| 679 | * Spolupracuje na projektovaní a implementácii návrhov. | ||
| 680 | * Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad). | ||
| 681 | |||
| 682 | |||
| 683 | * | ||
| 684 | *1. | ||
| 685 | *11. Bezpečnostný architekt | ||
| 686 | * Zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi. | ||
| 687 | * tvorba základných princípov stratégie, návrhov, implementácie a prevádzky bezpečnostných opatrení | ||
| 688 | * definovanie požiadaviek na aplikačnú bezpečnosť, pre tvorbu dizajnu bezpečného SW, pre riadenie identity, logovanie a testovanie | ||
| 689 | * participovať, revidovať a akceptovať analytické dokumenty | ||
| 690 | * dohľad nad napĺňaním stratégie implementácie bezpečnostných opatrení, | ||
| 691 | * zhodnotiť rôzne alternatívy IT riešenia a odporučiť optimálne riešenie | ||
| 692 | |||
| 693 | |||
| 694 | * | ||
| 695 | *1. | ||
| 696 | *11. Kľúčový používateľ | ||
| 697 | * Zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu. | ||
| 698 | * Zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť. | ||
| 699 | * Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie | ||
| 700 | |||
| 701 | |||
| 702 | |||
| 703 | 1. ODKAZY | ||
| 704 | |||
| 705 | |||
| 706 | **Príloha : **Zoznam rizík a závislostí (Excel): | ||
| 707 | |||
| 708 | // // | ||
| 709 | |||
| 710 | Koniec dokumentu | ||
| 711 | |||
| 712 | |||
| 713 | |||
| 714 | |||
| 715 | ---- | ||
| 716 | |||
| 717 | [[~[1~]>>path:#_ftnref1]] Spoločné moduly podľa zákona č. 305/2013 e-Governmente |